Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

Opções de download

  • PDF     (787.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (792.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:21 de abril de 2008
ID do documento:4123

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento inclui instruções passo a passo sobre como configurar os Cisco VPN 3000 Series Concentrators para autenticação com o uso de certificados digitais ou de identidade e certificados SSL.

Observação: no VPN Concentrator, o balanceamento de carga deve ser desativado antes que você gere outro certificado SSL, pois isso impede a geração do certificado.

Consulte Como obter um certificado digital de uma CA do Microsoft Windows usando o ASDM em um ASA para saber mais sobre o mesmo cenário com o PIX/ASA 7.x.

Consulte Exemplo de Configuração de Inscrição de Certificado do Cisco IOS Usando Comandos de Inscrição Avançados para saber mais sobre o mesmo cenário com as Plataformas Cisco IOS®.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco VPN 3000 Concentrator que executa a versão 4.7.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Instale certificados digitais no VPN Concentrator

Conclua estes passos:

  1. Escolha Administration > Certificate Management > Enroll para selecionar a solicitação de certificado digital ou de identidade.

    installdigital-16.gif

  2. Escolha Administration > Certificate Management > Enrollment > Identity Certificate e clique em Enroll via PKCS10 Request(Manual).

    installdigital-17.gif

  3. Preencha os campos solicitados e clique em Inscrever.

    Esses campos são preenchidos neste exemplo.

    • Nome comum — altiga30

    • Unidade Organizacional — IPSECCERT (a OU deve corresponder ao nome de grupo IPsec configurado)

    • Organização — Cisco Systems

    • Localidade — RTP

    • Estado/Província — Carolina do Norte

    • País — EUA

    • Nome de domínio totalmente qualificado — (não usado aqui)

    • Tamanho da chave – 512

    Observação: se você solicitar um certificado SSL ou um certificado de identidade usando o protocolo SCEP, essas serão as únicas opções RSA disponíveis.

    • RSA 512 bits

    • RSA 768 bits

    • RSA 1024 bits

    • RSA 2048 bits

    • DSA de 512 bits

    • DSA de 768 bits

    • DSA de 1024 bits

    installdigital_01.gif

  4. Após clicar em Enroll, várias janelas são exibidas. A primeira janela confirma que você solicitou um certificado.

    installdigital_02.gif

    Uma nova janela do navegador também é aberta e exibe o arquivo de solicitação PKCS.

    installdigital_02a.gif

  5. No servidor da Autoridade de Certificação (CA), realce a solicitação e cole-a no servidor da CA para enviar sua solicitação. Clique em Next.

    installdigital_03.gif

  6. Selecione Solicitação avançada e clique em Avançar.

    installdigital_04.gif

  7. Selecione Submit a certificate request using a base64 encoded PKCS #10 file (Enviar uma solicitação de certificado usando um arquivo PKCS #7 codificado na base64) e clique em Next.

    installdigital_05.gif

  8. Recorte e cole o arquivo PKCS no campo de texto na seção Solicitação salva. Em seguida, clique em Enviar.

    installdigital_06.gif

  9. Emita o certificado de identidade no servidor de CA.

    installdigital_07.gif

  10. Baixe a raiz e os certificados de identidade. No servidor de CA, selecione Check on a pending certificate e clique em Next.

    installdigital_08.gif

  11. Selecione Base 64 encoded e clique em Download CA certificate no servidor da autoridade de certificação.

    installdigital_09.gif

  12. Salve o certificado de identidade na unidade local.

    installdigital_10.gif

  13. No servidor de CA, selecione Recuperar o certificado de CA ou a lista de certificados revogados para obter o certificado raiz. Em seguida, clique em Avançar.

    installdigital_11.gif

  14. Salve o certificado raiz na unidade local.

    installdigital_12.gif

  15. Instale os certificados raiz e de identidade no VPN 3000 Concentrator. Para fazer isso, selecione Administração > Gerenciador de certificados > Instalação > Instalar certificado obtido via registro. Em Status da inscrição, clique em Instalar.

    installdigital_13.gif

  16. Clique em Upload File from Workstation.

    installdigital_14.gif

  17. Clique em Procurar e selecione o arquivo do certificado raiz que você salvou na unidade local.

    Selecione Install para instalar o certificado de identidade no VPN Concentrator. A Administração | A janela Gerenciamento de Certificados é exibida como uma confirmação e seu novo certificado de identidade é exibido na tabela Certificados de Identidade.

    installdigital_15.gif

    Observação: conclua estas etapas para gerar um novo certificado se o certificado falhar.

    1. Selecione Administration > Certificate Management.

    2. Clique em Excluir na caixa Ações da listagem Certificado SSL.

    3. Selecione Administration > System Reboot.

    4. Selecione Save the ative configuration at time of reboot, escolha Now e clique em Apply. Agora você pode gerar um novo certificado após a conclusão do recarregamento.

Instalar certificados SSL no VPN Concentrator

Se você usar uma conexão segura entre seu navegador e o VPN Concentrator, o VPN Concentrator exigirá um certificado SSL. Você também precisa de um certificado SSL na interface que usa para gerenciar o VPN Concentrator e para WebVPN, e para cada interface que termina os túneis WebVPN.

Os certificados SSL da interface, se não existirem, são gerados automaticamente quando o VPN 3000 Concentrator reinicializa após você atualizar o software do VPN 3000 Concentrator. Como um certificado autoassinado é gerado automaticamente, este certificado não é verificável. Nenhuma Autoridade de Certificação garantiu sua identidade. Mas este certificado permite que você faça um contato inicial com o VPN Concentrator usando o navegador. Se quiser substituí-lo por outro certificado SSL autoassinado, siga estas etapas:

  1. Escolha Administration > Certificate Management.

    installdigital-18.gif

  2. Clique em Gerar para exibir o novo certificado na tabela Certificado SSL e substituir o existente.

    Esta janela permite configurar campos para certificados SSL gerados automaticamente pelo VPN Concentrator. Esses certificados SSL são para interfaces e para balanceamento de carga.

    installdigital-19.gif

    Se você quiser obter um certificado SSL verificável (isto é, um emitido por uma Autoridade de Certificação), consulte a seção Instalar Certificados Digitais no Concentrador VPN deste documento para usar o mesmo procedimento que você usa para obter certificados de identidade. Mas desta vez, na janela Administration > Certificate Management > Enroll, clique em SSL certificate (em vez de Identity Certificate).

    Observação: consulte a Administração | Seção Gerenciamento de Certificado do VPN 3000 Concentrator Reference Volume II: Administration and Monitoring Release 4.7 para obter informações completas sobre certificados digitais e SSL.

Renove os certificados SSL no VPN Concentrator

Esta seção descreve como renovar os certificados SSL:

Se isso for para o certificado SSL gerado pelo VPN Concentrator, vá para Administration > Certificate Management na seção SSL. Clique na opção renew e isso renova o certificado SSL.

Se for para um certificado concedido por um servidor CA externo, siga estas etapas:

  1. Escolha Administration > Certificate Management >Delete em SSL Certificates para excluir os certificados expirados da interface pública.

    installdigital-20.gif

    Clique em Yes para confirmar a exclusão do certificado SSL.

    installdigital-21.gif

  2. Escolha Administration > Certificate Management > Generate para gerar o novo certificado SSL.

    installdigital-22.gif

    O novo certificado SSL da interface pública é exibido.

    installdigital-23.gif

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
07-Sep-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos